它在信息安全方面有一个残酷的讽刺,即许多使计算机更容易或更高效的功能以及用于保护和保护网络的工具也可用于利用和危害相同的计算机和网络。 数据包嗅探就是这种情况。
数据包嗅探器 (有时称为网络监视器或网络分析器)可由网络或系统管理员合法使用,以监视和排除网络流量。 使用数据包嗅探器捕获的信息,管理员可以识别错误的数据包,并使用这些数据找出瓶颈并帮助保持高效的网络数据传输。
简单来说,数据包嗅探器仅捕获通过给定网络接口的所有数据包。 通常情况下,数据包嗅探器只会捕获针对相关机器的数据包。 但是,如果进入混杂模式,数据包嗅探器还能够捕获所有通过网络的数据包,而不管目的地是什么。
通过在网络上以混杂模式放置数据包嗅探器,恶意入侵者可以捕获和分析所有网络流量。 在给定的网络中,用户名和密码信息通常以明文形式传输,这意味着通过分析正在传输的数据包可以查看信息。
数据包嗅探器只能捕获给定子网内的数据包信息。 因此,恶意攻击者不可能在他们的家乡ISP网络上放置数据包嗅探器,并从企业网络内部捕获网络流量(尽管存在多种或多或少的“劫持”内部网络上运行的服务以有效地从远程位置执行数据包嗅探)。 为此,数据包嗅探器需要在公司网络内的计算机上运行。 但是,如果内部网络中的一台计算机因特洛伊木马或其他安全漏洞而遭到入侵,则入侵者可以从该计算机运行数据包嗅探器,并使用捕获的用户名和密码信息来危害网络上的其他计算机。
在您的网络上检测流氓数据包嗅探器并非易事。 数据包嗅探器本质上是被动的。 它只是捕获正在传输到正在监视的网络接口的数据包。 这意味着通常没有签名或错误的流量来查找可识别运行数据包嗅探器的机器。 有许多方法可以确定您的网络上的混合模式下运行的网络接口,这可能会被用作定位流氓数据包嗅探器的手段。
如果你是一个好人,你需要维护和监控一个网络,我建议你熟悉网络监控器或者数据包嗅探器,比如Ethereal。 了解可以从捕获的数据中识别哪些类型的信息,以及如何使用它来保持网络顺畅运行。 但是,请注意,您的网络上的用户可能正在运行流氓数据包嗅探器,无论是出于好奇还是怀有恶意的目的进行尝试,并且您应该尽自己所能来确保这种情况不会发生。